Quando Claude Cowork é implantado no Amazon Bedrock, Google Cloud Vertex AI, Azure AI Foundry ou um gateway LLM, os conectores MCP, plugins e skills funcionam de forma diferente do que fazem no Claude Enterprise. Tudo é controlado via MDM e montagens do sistema de arquivos local, com uma interface de configuração local e configuração enviada via MDM.
Este artigo aborda controles de administrador (lista de permissões, distribuição, políticas) e a experiência do usuário final (o que está disponível, o que não está).
Conectores MCP
MCP (Model Context Protocol) permite que Claude se conecte a ferramentas e fontes de dados além do que está integrado no Claude Desktop. Tanto servidores MCP locais em execução na máquina do usuário quanto servidores MCP remotos acessados via HTTP ou SSE são suportados.
Servidores MCP remotos gerenciados por administrador
Use a chave MDM managedMcpServers para distribuir servidores MCP remotos aos usuários. Cada entrada na matriz JSON requer um nome único e uma URL HTTPS. Os campos opcionais incluem transporte, cabeçalhos, configuração OAuth e políticas no nível de ferramentas.
Configuração de exemplo:
[
{
"name": "internal-tools",
"url": "https://mcp.example.corp/sse",
"transport": "sse",
"headers": {
"Authorization": "Bearer <token>"
},
"toolPolicy": {
"runShell": "blocked",
"searchDocs": "allow"
}
}
]
transport pode ser "http" (padrão) ou "sse".
headers e oauth são mutuamente exclusivos. Se você definir
oauth: true, Claude Desktop executa um fluxo PKCE para adquirir credenciais do usuário. Caso contrário, use cabeçalhos para autenticação estática.toolPolicy mapeia nomes de ferramentas para "allow", "ask" ou "blocked". A política ask solicita confirmação do usuário antes da ferramenta ser executada.
Servidores MCP locais adicionados pelo usuário
Por padrão, os usuários podem adicionar seus próprios servidores MCP locais (transporte stdio). Para restringir isso, defina isLocalDevMcpEnabled = false em sua configuração MDM. Quando false, apenas servidores da lista gerenciada estão disponíveis e os usuários não podem adicionar os seus próprios.
Desabilitando ferramentas integradas
Claude Desktop inclui várias ferramentas integradas: Task, Bash, Glob, Grep, Read, Edit, Write, NotebookEdit, WebFetch, TodoWrite, WebSearch, Skill, REPL, JavaScript e AskUserQuestion. Mais duas—ToolSearch e SendUserMessage—estão disponíveis sob condições específicas.
Para remover ferramentas do conjunto disponível, adicione-as à matriz disabledBuiltinTools. Por exemplo: disabledBuiltinTools = ["WebSearch", "Bash"]
Plugins
Plugins agrupam skills, comandos, subagentes e servidores MCP para funções ou equipes específicas. No Claude Cowork padrão, os administradores distribuem plugins através da interface de administrador Anthropic. Com plataformas de terceiros, os plugins são distribuídos via uma montagem de diretório local em cada máquina.
Local de montagem do plugin
Coloque as pastas de plugin em:
macOS: /Library/Application Support/Claude/org-plugins/
Windows: C:\ProgramData\Claude\org-plugins\
Envie o conteúdo do diretório via MDM, uma ferramenta de distribuição de software ou seu processo padrão de gerenciamento de endpoint.
Estrutura do diretório de plugins
Cada plugin segue esta estrutura dentro do local de montagem:
code_reviewer_plugin/
claude-plugin/
plugin.json
version.json
.mcp.json (same format as managedMcpServers)
agents/
code-reviewer.md
commands/
find-all-bugs.md
skills/
security-review/
security-review.md
O arquivo plugin.json declara os metadados do plugin. O arquivo version.json rastreia informações de versão. O arquivo .mcp.json declara quaisquer servidores MCP que o plugin agrupa—seu formato corresponde ao esquema managedMcpServers acima.
Extensões de desktop
Extensões de desktop (arquivos .dxt e .mcpb) são extensões locais que os usuários podem instalar a partir da interface de conectores. Três chaves MDM controlam isso:
isDesktopExtensionEnabled — permite que os usuários instalem extensões de desktop locais
isDesktopExtensionDirectoryEnabled — mostra o diretório de extensão Anthropic na interface de conectores
isDesktopExtensionSignatureRequired — rejeita extensões que não são assinadas por um editor confiável
Para implantações mais rigorosas, defina o requisito de assinatura como true e desabilite o diretório de extensão Anthropic para que os usuários instalem apenas extensões assinadas que sua equipe tenha verificado.
Skills
Skills são o formato da Anthropic para empacotar instruções e contexto específicos do domínio. Com plataformas de terceiros, skills são apenas locais—eles são fornecidos como parte de plugins ou como adições autônomas ao diretório de plugins local.
O marketplace de skills e plugins disponível no Claude Enterprise não está disponível com plataformas de terceiros. Se sua organização deseja um catálogo de skills curado, distribua skills como parte de seu lançamento de plugin via o mesmo diretório de montagem descrito acima.
O que não está disponível com plataformas de terceiros
Esses recursos de extensibilidade estão disponíveis no Claude Enterprise, mas não quando Claude Cowork é implantado em uma plataforma de terceiros:
Marketplace de skills e plugins — sem catálogo centralizado. Distribua via MDM.
Compartilhamento de projetos e plugins — o compartilhamento entre usuários requer recursos de chat e projeto que não estão disponíveis.
Funções personalizadas para MCP e plugins — controle de acesso baseado em função através da interface de administrador não está disponível. Use configurações MDM e grupos de usuários no nível do SO para acesso diferenciado.
Interface de administrador para gerenciamento de usuários — o gerenciamento de usuários ocorre na camada do provedor de nuvem e MDM, não através da Anthropic.
Perguntas frequentes
Os plugins podem exigir aprovação do administrador antes de um usuário instalá-los?
Os plugins que você distribui via diretório org-plugins estão disponíveis para todos os usuários nessa máquina—sem etapa de aprovação por usuário. Para controles mais rigorosos, combine a distribuição baseada em montagem com um fluxo de extensão de desktop assinado (isDesktopExtensionSignatureRequired = true).
Quais servidores MCP são fornecidos com essa implantação?
Os servidores MCP não são fornecidos por padrão com Claude Code em inferência de terceiros. Todos os servidores MCP devem ser permitidos via MDM.
Os usuários podem compartilhar credenciais MCP entre máquinas?
As credenciais nos cabeçalhos são entregues via MDM e vinculadas à configuração da máquina. Para credenciais específicas do usuário, use a opção oauth: true, que dispara um fluxo PKCE no primeiro uso.
Como faço para atualizar um plugin após sua implantação?
Substitua a pasta do plugin na montagem org-plugins e envie a versão atualizada através de sua ferramenta de distribuição de software existente. Os usuários veem a nova versão na próxima reinicialização do aplicativo.